Postřehy z bezpečnosti: můžeme věřit čínským telefonům?

Lukáš Malý 18. 8. 2014

Čínský výrobce telefonů Xiaomi prý špehuje uživatelská data. Adobe uvolnilo několik oprav svých produktů. Konference Black Hat a Def Con poukazují na noční můry v oblasti bezpečnosti. Nová upravená varianta malwaru GameOver ZeuS se rychle šíří. Oracle data redaction podléhá zranitelnosti.

Podle společnosti F-Secure špehuje mobil Xiaomi od společnosti MIUI uživatelská data. Experti společnosti F-Secure analyzovali nový mobil Xiaomi RedMi 1S. Zjistili přitom, že toto zařízení posílá velké množství dat na server umístěný v Číně. A to hlavně za předpokladu, že jsou všechny zálohovací funkce a MiCloud vypnuté. Podrobnosti o testu jsou na f-secure.com. Xiaomi se též říká „čínský Apple“. Chytré telefony čínských výrobců již byly v minulosti značně podezřelé. Smartphone Star N9500 prý obsahoval předinstalovaný trojan a umožňoval vzdálené nahrávání z mikrofonu. Hugo Barra od společnosti Xiaomi ovšem popírá všechna tvrzení o špionáži. Společnost Xiaomi tvrdí, že sdílení dat je součástí IM služby MIUI Cloud Messaging, která je automaticky spuštěna v každém telefonu Xiaomi (jako součást aplikace pro odesílání SMS zpráv). Xiaomi už vydalo update firmwaru, který tuto funkci umožňuje vypnout.

Adobe vydalo kritické bezpečnostní záplaty pro Flash Player, Acrobat a Adobe Reader. Společnost Adobe uvolnila bezpečnostní záplaty pro sedm zranitelností v jejich Flash a Air platformách a jednu v Acrobat a Adobe Readeru. Podle společnosti Adobe byly již tyto zranitelnosti zneužity útočníky „in the wild“ v izolovaných útocích na uživatele Adobe Readeru pro Windows.

Deset nejděsivějších nočních můr z oblasti bezpečnosti z konferencí Black Hat a Def Con. Hacknutá letadla, nezastavitelné a nebezpečné flash disky, poblázněná automatika v hotelech, problémy SoHo routerů. Zde najdete deset nejděsivějších bezpečnostních novinek z předních bezpečnostních konferencí v Las Vegas.

NewGOZ je nová varianta známého malwaru GameOver ZeuS, jehož řídící servery byly odstaveny ve spolupráci policejních orgánů a technologických firem. Na rozdíl od GameOveru newGOZ nepoužívá pro komunikaci se řídícími servery P2P protokol, ale vlastní mechanismus na tvorbu domén řídících serverů (Domain Generation Mechanism – DGM), které si jeho tvůrci registrují. Společnosti Arbor networks se podařilo registrovat některé z domén a tak po pět dnů v průběhu čtyř týdnů zachytávala provoz botnetu. Během této doby se s řídícími servery pokusily komunikovat nakažené počítače z více než dvanácti tisíc unikátních IP adres. Většina obětí newGOZ se nachází v USA (44 %) a v Indii (22 %).

Zranitelnost Oracle data redaction: Data redaction je zajímavá vlastnost databází Oracle, která umožňuje cenzurovat citlivá data, která jsou výsledkem hledání v databázi. Tímto způsobem je možné například skrýt čísla platebních karet. Bezpečnostní expert David Litchfield ale objevil způsob, jak se dostat k původním datům, nebo dokonce využít Oracle data redaction k nelegitimnímu zvýšení oprávnění a SQL Injection útokům. Správcům databází Oracle je do odstranění problému doporučeno omezit přístup k funkci DBMS_REDACT.

widgety

Byl vydán update open-source knihovny OpenSSL. Nová verze opravuje devět zranitelností, které mohou způsobit únik informací, nadměrnou spotřebu paměti nebo zhroucení OpenSSL.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn